テクノロジー企業のCitrixが、ネットワークを構築するためのアプライアンス製品である「NetScaler ADC」「NetScaler Gateway」ですでに悪用されている重大なゼロデイ脆弱(ぜいじゃく)性が判明したとして、速やかにバージョンアップデートを行うように警告しました。

Citrix ADC and Citrix Gateway Security Bulletin for CVE-2023-3519, CVE-2023-3466, CVE-2023-3467

https://support.citrix.com/article/CTX561482/citrix-adc-and-citrix-gateway-security-bulletin-for-cve20233519-cve20233466-cve20233467



Citrix Releases Security Updates for NetScaler ADC and Gateway | CISA

https://www.cisa.gov/news-events/alerts/2023/07/18/citrix-releases-security-updates-netscaler-adc-and-gateway



New critical Citrix ADC and Gateway flaw exploited as zero-day

https://www.bleepingcomputer.com/news/security/new-critical-citrix-adc-and-gateway-flaw-exploited-as-zero-day/



報告された脆弱性は「CVE-2023-3519」「CVE-2023-3466」「CVE-2023-3467」の3つです。CVE-2023-3519は認証なしにリモートコード実行が可能になる脆弱性、CVE-2023-3466はクロスサイトスクリプティング(XSS)の脆弱性、CVE-2023-3467はルート管理者権限に昇格できる脆弱性とのこと。このうちCVE-2023-3519については深刻度が10点中9.8点と評価されており、すでに悪用された実例が確認されているそうです。

対象となるバージョンは以下の通り。Citrixはバージョン12.1についてはライフサイクルが終了しているので、新しいバージョンにアップグレードする必要があると述べています。

・NetScaler ADCおよびNetScaler Gatewayのバージョン13.1-49.13以降

・NetScaler ADCおよびNetScaler Gatewayのバージョン13.0-91.13、および13.0以降

・NetScaler ADC 13.1-FIPSのバージョン13.1-37.159以降

・NetScaler ADC 12.1-FIPSのバージョン12.1-65.36以降

・NetScaler ADC 12.1-NDcPPのバージョン12.1-65.36以降

セキュリティ関連ニュースサイトのBleeping Computerによると、2023年7月上旬に何者かがハッカー向けのフォーラムに「Citrix ADCのバージョン13.1ビルド48.47まででリモートコード実行可能なゼロデイ脆弱性があった」と書き込んだそうで、Citrixはこの書き込みをきっかけに問題を公開する前に修正パッチの作成に取り組んでいたとのこと。Citrixは問題のゼロデイ脆弱性に対応した修正版へのアップデートを強く呼びかけています。

なお、Citrix ADCとCitrix Gatewayは2022年12月にも任意のコードをリモート実行可能となる脆弱性が確認されており、早急なアップデートを呼びかけていました。

Citrix ADC および Citrix Gateway の脆弱性について(CVE-2022-27518) | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構

https://www.ipa.go.jp/security/security-alert/2022/alert20221214.html

また、Adobeの開発フレームワークであるColdFusionに脆弱性「CVE-2023-38203」が発見されたと、セキュリティ企業のRapid 7が報告しています。

Active Exploitation of Multiple Adobe ColdFusion Vulnerabilities | Rapid7 Blog

https://www.rapid7.com/blog/post/2023/07/17/etr-active-exploitation-of-multiple-adobe-coldfusion-vulnerabilities/



Adobe ColdFusionは2023年7月にセキュリティ機能がバイパスされる脆弱性「CVE-2023-29298」や任意のコード実行を可能にする脆弱性「CVE-2023-29300」が発見され、修正パッチを配信したばかりでした。今回発見されたCVE-2023-38203はCVE-2023-29300に近い脆弱性で、前回の修正パッチ配布からわずか3日で新たな修正パッチが配布される事態となりました。

なお、CVE-2023-29298とCVE-2023-38203の両方に対して脆弱なバージョンは以下の通り。ただし、Rapid 7によれば、記事作成時点での最新バージョンはCVE-38203については修正されているものの、CVE-2023-29298に対しては依然として脆弱であるとのことです。

・Adobe ColdFusion 2023 Update 1

・Adobe ColdFusion 2021 Update 7以降

・Adobe ColdFusion 2018 Update 17以降